Como parte da equipe de segurança cibernética de uma instituição financeira, você foi encarregado de atualizar as práticas de segurança da informação, com base nas normas mais recentes. Durante essa atualização, você se depara com a necessidade de definir claramente o que constitui uma ameaça no contexto da segurança da informação. Sua tarefa é selecionar a definição mais precisa, considerando o que está em jogo em um ambiente corporativo onde a perda de dados pode ter consequências graves. Com base na norma ABNT NBR ISO IEC 27001:2013, qual das alternativas melhor define uma "Ameaça"?

Question

Como parte da equipe de segurança cibernética de uma instituição financeira, você foi encarregado de atualizar as práticas de segurança da informação, com base nas normas mais recentes. Durante essa atualização, você se depara com a necessidade de definir claramente o que constitui uma ameaça no contexto da segurança da informação. Sua tarefa é selecionar a definição mais precisa, considerando o que está em jogo em um ambiente corporativo onde a perda de dados pode ter consequências graves. Com base na norma ABNT NBR ISO IEC 27001:2013, qual das alternativas melhor define uma "Ameaça"? A) Uma vulnerabilidade no sistema de informação. B) Uma ferramenta usada para proteger dados. C) Uma política de segurança interna da empresa. D) Causa potencial de um incidente indesejado que pode resultar em danos a um sistema ou organização. E) Um incidente que já causou danos à organização.

Sapien IA · Accepted Answer

Alternativa D Causa potencial de um incidente indesejado que pode resultar em danos a um sistema ou organização. Análise da Questão A questão aborda conceitos fundamentais de Segurança da Informação , especificamente conforme a norma internacional ISO/IEC 27001:2013 . Para responder corretamente, é essencial diferenciar três pilares principais: Ameaça, Vulnerabilidade e Risco. Conceitos Chave Para entender a definição correta, vamos analisar as definições técnicas estabelecidas pela norma: Ameaça (Threat): Qualquer circunstância ou evento com potencial para causar dano a um ativo ou sistema. É algo que pode acontecer. Vulnerabilidade (Vulnerability): Uma fraqueza em um ativo ou conjunto de controles que pode ser explorada por uma ameaça. Incidente (Incident): Ocorrência de um evento indesejado ou série de eventos relacionados que podem comprometer a segurança da informação. Por que as outras alternativas estão incorretas? Alternativa A (Vulnerabilidade): Confunde o conceito de falha do sistema com o agente externo. Uma vulnerabilidade é o "buraco" na cerca; a ameaça é quem tenta atravessá lo. Alternativa B (Ferramenta de proteção): Descreve um Controle de Segurança ou mecanismo de defesa, não uma ameaça. Alternativa C (Política): Refere se a documentos de governança e diretrizes, não ao conceito de risco ou perigo. Alternativa E (Incidente consumado): Descreve um evento que já ocorreu . A ameaça existe como um potencial antes mesmo de o incidente acontecer. Conclusão A definição precisa de Ameaça na ISO 27001 foca no caráter potencial de causar dano. Portanto, a alternativa D é a única que alinha corretamente a causa com o resultado possível (dano), mantendo a natureza preventiva e prospectiva do termo. Alternativa D .

Explicação passo a passo

Análise da Questão

Conceitos-Chave

Por que as outras alternativas estão incorretas?

Conclusão

Mais questões de Geral

Tem outra questão de Geral?